Rechenzentren

Das NARZ hatte in Abstimmung mit mir ein technisches Konzept realisierungsreif entwickelt, das die Funktionen der CD begrenzt und dem einzelnen Patienten ermöglicht, zu entscheiden, ob er mit der Nutzung seiner Daten durch die Apotheke überhaupt und wenn ja, zu welchen Zwecken im Einzelnen, einverstanden ist. Da die Rechenzentren miteinander im Wettbewerb stehen, ist aber Voraussetzung für die Umsetzung des Verfahrens, dass möglichst alle Apothekenrechenzentren bereit sind, die CD mit den dargestellten Restriktionen auszuliefern. Dies ist bislang leider nicht der Fall. Eine Minderheit unter den Datenschutzaufsichtsbehörden der Länder vertritt ­ unterstützt durch den Bundesbeauftragten für den Datenschutz ­ die Auffassung, die dargestellte Verarbeitung von Verschreibungsdaten sei ungeachtet ihrer Ausgestaltung im Einzelnen unzulässig. Leider ist es ihnen nicht gelungen, diese Position gegenüber den ihrer Kontrolle unterstehenden Rechenzentren durchzusetzen. Im Gegenteil: Bislang liefern diese die CD ohne die in Bremen abgesprochenen Funktionsbegrenzungen aus. Vorkehrungen dafür, dass die einzelnen Patienten damit einverstanden sind, werden auch nicht getroffen. Die große Mehrheit der Aufsichtsbehörden aber hat meine Position unterstützt und in diesem Sinne auf die ihrer Aufsicht unterstehenden Rechenzentren eingewirkt.

Das Bundesministerium für Gesundheit und Soziales ist inzwischen der Auffassung beigetreten, eine Einwilligung des Patienten könne eine über die im Sozialgesetzbuch hinausgehende Verarbeitung von Verschreibungsdaten durch Rechenzentren nicht legitimieren. Allerdings hat das Ministerium auf meine Frage, welche der mit mir abgestimmten Funktionen der durch das NARZ vertriebenen CD durch das SGB abgedeckt seien, nur einige Funktionen genannt, auf die dies nicht zutreffe, und zwar die Erstellung von Belegen für das Finanzamt sowie die Versendung von Informationsmaterial und von Geburtstagsgrüßen an die Patienten. Da das Ministerium zu den anderen Funktionen der CD eine Aussage nicht getroffen hat, habe ich ­ und hat anschließend auch die große Mehrheit des Düsseldorfer Kreises ­ daraus den Schluss gezogen, dass die Verarbeitung patientenbezogener Verschreibungsdaten durch Apotheken-Rechenzentren zur Erfüllung dieser Zwecke rechtmäßig sein könne. Dabei handelt es sich um die Quittierung von Eigenleistungen gegenüber den Krankenkassen (Zuzahlungsquittungen), die Rezeptrecherche für Patienten, Ärzte und Krankenkassen sowie den Nachvollzug einer Retaxation (nachträgliche Neuberechnung der Abrechnung Apotheke/Kasse) durch die Apotheke. Das vom NARZ entwickelte Einwilligungsverfahren hat der Düsseldorfer Kreis nach wie vor als besonders datenschutzfreundlich bezeichnet. Er wird seine Auffassung dem Bundesministerium für Gesundheit und Soziales mitteilen und dann die Spitzenorganisationen der Apotheker anschreiben, ihnen seine Position erläutern und sie bitten, ihrerseits mit dem Ziel auf die Rechenzentren einzuwirken, dass sie bundesweit den Apotheken datenschutzgerecht ausgestaltete CDs anbieten.

KIS Kindergarten-Informationssystem bei der Arbeiterwohlfahrt

Das Programm KIS dient der automatisierten Verarbeitung der Sozialdaten von Eltern mit Kindern in Kindertagesheimen. Es wurde bisher in den 74 städtischen Kindertagesheimen (KTH) auf Stand-Alone-Geräten seit 1998 eingesetzt und unterstützt das Aufnahmeverfahren und die Beitragsberechnung. Es liefert auch statistische Daten für Planungszwecke (vgl. auch zur Veränderung der technischen Grundlagen des Verfahrens Ziff. 10.2 dieses Jahresberichts).

Das für die Städtischen Kindertagesheime erstellte Datenschutzkonzept und dessen von mir überprüfte Umsetzung (vgl. insbesondere 22. JB, Ziff. 9.1) ergaben nach zunächst festgestellten Mängeln datenschutzrechtlich angemessene Ergebnisse.

KIS wird aber auch in KTH freier Träger, wie z. B. der Arbeiterwohlfahrt, eingesetzt. Das Ressort war damals an der Entscheidung der freien Träger für den Einsatz von KIS beteiligt und trägt die Verantwortung für die Wahrung des Sozialgeheimnisses (§ 61 Abs. 4 SGB VIII). Es war demnach verpflichtet, die Umsetzung des Datenschutzkonzeptes auch in diesem Bereich zu garantieren.

Ich habe deswegen die KIS-Anwendung in einem KTH der Arbeiterwohlfahrt zu folgenden Themen geprüft:

- den Bootschutz für die Rechner des KIS-Systems,

- die Sicherheit des Dateisystems unter Windows-NT,

- die Richtlinien für die Passwortgestaltung,

- die Organisation der Administration des Systems,

- die Gruppen- und Benutzerstruktur,

- die Zugriffsprotokolle und Einstellungen der Überwachungsrichtlinien.

Insgesamt konnte als Ergebnis der Prüfung festgestellt werden, dass das sich aus dem Datenschutzkonzept ergebende Datenschutzniveau durch die technische Umsetzung in dem KTH der Arbeiterwohlfahrt gewährleistet war.

Sicherstellung von Personalunterlagen eines ehemaligen Betriebes

Von Mitgliedern des Beirats Vegesack bin ich darüber informiert worden, dass sich auf einer Industriebrache in Bremen-Vegesack in dem dortigen leerstehenden Betriebsgebäude etliche Personalunterlagen befänden.

Ich habe den Fundort in Gegenwart der Beiratsmitglieder und Vertretern des Deutschen Gewerkschaftsbundes (DGB) aufgesucht und festgestellt, dass die Unterlagen offen und für jedermann zugänglich in dem Betriebsgebäude herumlagen. Es handelte sich insbesondere um Stundennachweise, Gehaltsabrechungen und -mitteilungen und sogar um eine vollständige Akte über ein Arbeitsgerichtsverfahren. Da ich nicht in der Lage war, unverzüglich Maßnahmen zur Sicherstellung der umfangreichen Unterlagen zu treffen, haben die Vertreter des DGB die Unterlagen treuhänderisch und vorübergehend übernommen.

Aus den Unterlagen war der Name des ehemaligen Arbeitgebers eindeutig feststellbar. Aufgrund der regionalen Medienberichterstattung haben sich die Familienangehörigen des ehemaligen Arbeitgebers bei mir gemeldet und erklärt, dass die Firma vor ca. zehn Jahren an eine Firma in Karlsruhe verkauft worden sei.

Daraufhin habe ich die Firma und die Aufsichtsbehörde in Baden-Württemberg eingeschaltet und auf den Missstand hingewiesen. Die Firma in Karlsruhe hat die Unterlagen inzwischen vom DGB übernommen, so dass sich nunmehr keine Unterlagen mehr in dem ehemaligen Betriebsgebäude und auf dem Grundstück befinden.

Einführung eines elektronischen Türsicherungssystems

Die Beauftragte für den Datenschutz eines Betriebes hat mir den Entwurf einer Betriebsvereinbarung über eine elektronische Türensicherung vorgelegt und angefragt, ob diese den datenschutzrechtlichen Anforderungen entspricht.

Zweck des Türsicherungssystems ist, den Diebstahl von wertvollen Betriebseinrichtungen zu verhindern. Die Beschäftigten erhalten Chipkarten, mit denen sich die Türen des Betriebes öffnen lassen. Da Diebstähle außerhalb der Geschäftszeit vorgekommen sind, ist festgelegt worden, dass die Speicherung der Freischaltung einer Tür in der Logdatei nur außerhalb der Geschäftszeit erfolgt. Aus Gründen der Transparenz der Datenverarbeitung habe ich vorgeschlagen, in der Betriebsvereinbarung die Daten aufzuführen, die sich auf der Chipkarte befinden und präzise festzulegen, welcher Personenkreis unter welchen Voraussetzungen welche Auswertungen vornehmen darf. Außerdem habe ich die zweijährige Löschungsfrist für zu lang gehalten und vorgeschlagen, dass die Daten spätestens nach ein bis drei Monaten gelöscht werden sollten. Schließlich habe ich auf die neue Rechtsvorschrift über mobile personenbezogene Speicher- und Verarbeitungsmedien (Chipkarten) nach § 6 c Bundesdatenschutzgesetz und insbesondere die darin geregelten Unterrichtungspflichten hingewiesen. Die Datenschutzbeauftragte hat zugesagt, meine Vorschläge zu übernehmen und auf die Einhaltung und Umsetzung der neuen Chipkartenregelung zu achten.

Datenerhebung bei Anbahnung eines Mietvertrages

Ich bin darüber informiert worden, dass ein Makler einem Mietinteressenten ein Formular Selbstauskunft Miete aushändigte und erklärte, das vollständige Ausfüllen sei Bedingung für den Zuschlag als Mieter. In dem Formular werden Angaben verlangt über den Familienstand und ggf. den Güterstand sowie die Bankverbindung und das Vermögen, aufgeteilt nach Bank- und Sparguthaben, Wertpapiere (Kurswert), Haus- und Grundvermögen, Versicherungsansprüche sowie sonstige Vermögen. Außerdem ist die Einwilligungserklärung so formuliert, dass eingewilligt werden soll, die Angaben bei Banken und anderen Stellen überprüfen zu können.

Ich habe den Makler darauf hingewiesen, dass die vorgenannten Angaben nicht erforderlich sind. Zur Eingehung eines Mietvertragsverhältnisses reicht es aus, wenn die Summe der monatlichen Nettoeinnahmen angegeben wird, damit der Vermieter abschätzen kann, ob der Mietinteressent die monatliche Miete regelmäßig bezahlen kann. Außerdem sollten die Stellen, bei denen mit Einwilligung des Mietinteressenten Auskünfte eingeholt werden dürfen, näher benannt werden, z. B. Auskunfteien.

Der Makler hat mir daraufhin ein neues Formular übersandt, dass die von mir monierten Angaben nicht mehr enthält. Außerdem ist die Einwilligungserklärung entsprechend meiner Anforderung geändert worden.

Elektronisches Fahrgeldmanagement

Der Verband der Deutschen Verkehrsunternehmen (VDV) hat sich an die Datenschutzbeauftragten des Bundes und der Länder sowie die Aufsichtsbehörden für den Datenschutz gewandt und ein gemeinsames Vorgehen bei der Entwicklung einer Kernapplikation für ein elektronisches Fahrgeldmanagement im öffentlichen Personenverkehr vorgeschlagen. Hierbei geht es insbesondere um folgende Aspekte:

- Bargeldlose Bezahlungen mit elektronischen Geldbörsen, z. B. der Geldkarte, der oder anderen Kundenmedien,

- Elektronischer Fahrschein durch Ersatz des Papierfahrscheins durch Speicherung der Fahrkartendaten auf einer Chipkarte oder auf anderen Kundenmedien und

- Automatisierte Fahrpreisfindung durch unternehmens- bzw. netz- oder verbundübergreifende In/Out-Systeme mit aktiver oder passiver Anmeldung der Fahrgäste.

Dazu hat sich eine Arbeitsgruppe aus dem Kreis der Landesbeauftragten für den Datenschutz gebildet, an der auch ich teilgenommen habe. Die Arbeitsgruppe hat mit der Datenschutzarbeitsgruppe des VDV die nachstehenden datenschutzrechtlichen Grundanforderungen an das Elektronische Fahrgeldmanagement (EFM) entwickelt, die von allen ca. 400 Mitgliedsunternehmen des VDV beachtet werden sollen.

- Transparenz: Die Datenverarbeitung durch das EFM muss transparent sein (§ 6 c Abs. 1 Nr. 2 und 3 BDSG). Dies erfordert die Festlegung der Zwecke, die Beschreibung der einzelnen Datenverarbeitungsvorgänge, differenziert nach den jeweiligen für den Fahrgast zutreffenden Geschäftsprozessen und die dabei zu verarbeitenden Daten. Weiter sind die Angaben der Identitäten und Anschriften der Stellen erforderlich, die zu den genannten Zwecken personenbezogene Daten verarbeiten und/oder bei denen die jeweiligen Rechtsansprüche geltend gemacht und Verfahrensbeschreibungen gemäß § 4 Abs. 2 Satz 2 BDSG eingesehen werden können. Auch die Einbeziehung der Unterrichtungspflichten der Kundenvertragspartner ist geboten. Deshalb sollte ein Merk- oder Informationsblatt erstellt werden, in dem der Fahrgast in allgemein verständlicher Form über die vorgesehene Datenverarbeitung ­ auch durch zentrale Servicestellen oder andere autorisierte Dritte ­ und über seine Rechte nach §§ 34, 35 BDSG unterrichtet wird.